zákon č. 181/2014 Sb. o kybernetické bezpečnosti: TECHNICKÁ OPATŘENÍ PODLE ZKB zákon č. 181/2014 Sb. o kybernetické bezpečnosti: 12 technických opatření ZKB = co můžete z 10. výzvy financovat: „a) fyzická bezpečnost, b) nástroj pro ochranu integrity komunikačních sítí, c) nástroj pro ověřování identity uživatelů, d) nástroj pro řízení přístupových oprávnění, e) nástroj pro ochranu před škodlivým kódem, f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, g) nástroj pro detekci kybernetických bezpečnostních událostí, h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, i) aplikační bezpečnost, j) kryptografické prostředky, k) nástroj pro zajišťování úrovně dostupnosti informací a l) bezpečnost průmyslových a řídících systémů.“ - nově i ti, kdo nedrží KII/VIS 10. výzva IROP 1

vyhláška č. 316/2014 Sb. o kybernetické bezpečnosti: TECHNICKÁ OPATŘENÍ PODLE ZKB vyhláška č. 316/2014 Sb. o kybernetické bezpečnosti: vyhláška jednotlivá technická opatření popisuje detailněji, např. že „Prostředky fyzické bezpečnosti jsou zejména a) mechanické zábranné prostředky, b) zařízení elektrické zabezpečovací signalizace, c) prostředky omezující působení požárů, d) prostředky omezující působení projevů živelních událostí, e) systémy pro kontrolu vstupu, f) kamerové systémy, g) zařízení pro zajištění ochrany před selháním dodávky elektrického napájení a h) zařízení pro zajištění optimálních provozních podmínek.“ = když nebudete vědět, koukněte do ZKB a vyhlášky, úředníci kontrolující projekty budou dělat to samé 10. výzva IROP 2

keypad u dveří do serverovny kamerový systém sledující serverovnu PŘÍKLADY a) fyzická bezpečnost keypad u dveří do serverovny kamerový systém sledující serverovnu ochrana přístupu k datovým kabelům: dveře, mříže, zábrany b) nástroj pro ochranu integrity komunikačních sítí perimetr: firewall/IPS systém přenos: přístup zaměstnanců přes VPN řešení DMZ, segmentace sítě, air-gap řešení b) IPS: schopen hledat anomálie oproti běžnému stavu (funkce NBA) 10. výzva IROP 3

c) nástroj pro ověřování identity uživatelů PŘÍKLADY c) nástroj pro ověřování identity uživatelů enterprise password management systémy dvoufaktorová autentizace pro (vzdálené) přihlášení d) nástroj pro řízení přístupových oprávnění řízení úrovní uživatelských oprávnění c) enterprise password management systémy napříč stanicemi & mobily uplatnění požadavků na silné heslo & jeho obnovu systémy dvoufaktorové autentizace přes SMSku do mobilu integrované do special aplikace typu Authy HW tokeny atd. Identity management – lze zařadit pod obě kategorie. 10. výzva IROP 4

e) nástroj pro ochranu před škodlivým kódem PŘÍKLADY e) nástroj pro ochranu před škodlivým kódem pokročilá antivirová řešení: heuristika, sandboxing atd. web application firewall (WAF) zkoumání emailů, ochrana mobilních zařízení atd. f) nástroj pro zaznamenávání činnosti KII a VIS, jejich uživatelů a administrátorů log management systémy: kdo, kdy a co dělal automatické alerty: změna systémových nastavení, neúspěšné pokusy v důsledku nízkého oprávnění atd. A web application firewall (WAF) aplikuje předem daná pravidla na HTTP provoz z/do aplikace brání např. proti cross-site scripting (XSS), SQL injection atd. 10. výzva IROP 5

g) nástroj pro detekci kybernetických bezpečnostních událostí PŘÍKLADY g) nástroj pro detekci kybernetických bezpečnostních událostí např. funkce log managementu umožňující automatické vyhodnocení logů h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí sběr událostí (log management) sledování síťového provozu: TAPy, sondy, kolektory (projekt NCKB, MF, MPSV, MSp) automatické korelace, detekce anomálií a reporting: SIEM (projekt Moravskoslezského kraje) SIEMA web application firewall (WAF) is an application firewall for HTTP applications. It applies a set of rules to an HTTP conversation. Generally, these rules cover common attacks such as cross-site scripting (XSS) and SQL injection. vše na jedné obrazovce vše v reálném čase IBM Q-Radar, HP ArcSight, Splunk.. 10. výzva IROP 6

i) aplikační bezpečnost PŘÍKLADY i) aplikační bezpečnost skenery zranitelností & automatické opravy (Projekt vulnerability management – MSp) aplikační whitelisting pro stanice i mobilní zařízení j) kryptografické prostředky šifrování emailů: centrální správa a distribuce klíčů, integrace do emailových klientů, certifikační autority šifrování dat na stanicích, serverech a mob. zařízeních 10. výzva IROP 7

k) nástroj pro zajišťování úrovně dostupnosti informací PŘÍKLADY k) nástroj pro zajišťování úrovně dostupnosti informací sledování dostupnosti služeb & HW komponent jako součást všech projektů: redundance, zálohování dat v jiné lokalitě, záložní zdroj energie pro serverovnu atd. l) bezpečnost průmyslových a řídících systémů prvky fyzické bezpečnosti na ochranu ICS/SCADA nástroje a služby pro vzdál. připojení – např. VPN nástroje pro řízení zranitelností sledování dostupnosti služeb & HW komponent – viz VŘ Minist. dopravy „Dodávka nástroje pro zajišťování úrovně dostupnosti informací“: „Sledování dostupnosti minimálně následujících typů služeb: webové služby, jmenné služby, služby přesného času, služby řadiče domény MS Windows, služby Active Directory, LDAP, RADIUS, databázové služby. Sledování zatížení komponent minimálně následujících typů zařízení: síťové přepínače (switches), síťové směrovače (routers), servery s operačními systémy VMware, Hyper-V, MS Windows a Linux, DNS servery, NTP servery, řadiče domén MS Windows, LDAP, RADIUS servery, databázové servery (minimálně MS SQL a Oracle)“ 10. výzva IROP 8